Yahoo: Daten von mindestens 500 Millionen Nutzern gestohlen
Erste Berichte bereits Anfang August
Erste Berichte über einen Datendiebstahl bei Yahoo waren Anfang August aufgekommen, als Hacker behaupteten, Zugang zu 200 Millionen Profilen zu haben und einer von ihnen im Internet die angeblichen Nutzerdaten für weniger als 2000 Dollar im Internet zum Kauf anbot. Dieser Hacker mit dem Namen "Peace" hatte zuvor schon Nutzerdaten des Online-Netzwerks MySpace und der Karriere-Plattform Linkedin verkauft.
Yahoo erklärte damals, man prüfe den Sachverhalt. Jetzt hieß es, der Konzern arbeite mit den Sicherheitsbehörden zusammen. Die Kreditkarten- und Bankkonto-Informationen lagerten in einem anderen System, das nicht betroffen gewesen sei, erklärte Yahoo.
Die Frage ist nun, wie sicher die Passwörter verschlüsselt sind und wie viele Profile über die Sicherheitsfragen angreifbar wurden. Nach Informationen des "Wall Street Journal" wurden die Passwörter früher mit dem kryptografischen Algorithmus MD5 verschleiert, der mit modernen Technologien geknackt werden könne. Jetzt hieß es von Yahoo, ein "überwiegender Großteil" sei mit dem Verfahren bcrypt verschlüsselt gewesen. Auch bei ihm diskutieren Experten darüber, wie robust es ist. Vor vier Jahren waren Yahoo rund 450. 000 unverschlüsselte Nutzernamen und Passwörter gestohlen worden.
Nutzung der Daten für gezielte Phishing-Nachrichten
Selbst wenn die Angreifer die Passwörter nicht entschlüsseln und damit nicht in die Yahoo-Profile vordringen, können sie auch Daten wie Namen und E-Mail-Adressen für gezielte Phishing-Nachrichten nutzen. Dabei werden Nutzern Passwort-Informationen abgeluchst oder Mails mit infizierten Links untergejubelt, über die dann Schadsoftware auf den Rechnern installiert wird.
Bei Yahoo könnte der Datendiebstahl in dieser außergewöhnlichen Dimension auch den Verkauf des Web-Geschäfts an den Telekom-Konzern Verizon erschweren. Verizon erklärte, man werde die Situation ausgehend aus den Interessen des eigenen Unternehmens sowie der Kunden und Aktionäre prüfen. Der Telekom-Riese sei erst vor zwei Tagen von dem Datendiebstahl unterrichtet worden und verfüge nur über eingeschränkte Informationen. Die Yahoo-Übernahme für rund 4,8 Milliarden US-Dollar war im Juli vereinbart worden.